Blog WatchGuard

3 dicas para diferenciar o XDR do EDR

As soluções de cibersegurança evoluíram de uma tecnologia básica de investigação e descoberta para soluções de análise comportamental, que permitem a deteção e resposta em tempo real. Contudo, para serem verdadeiramente eficazes, devem também proteger contra comportamentos anómalos que podem parecer inofensivos por si só, mas que depois de obterem um quadro mais amplo através da correlação e contextualização das deteções revelam-se um incidente que precisa de ser respondido o mais rapidamente possível.

O termo "deteção e resposta" engloba tecnologias que procuram proporcionar maior visibilidade, maior capacidade de identificação e resposta mais eficiente a ameaças através de uma ampla superfície de ataque. Como o EDR e o XDR parecem semelhantes, pode surgir alguma confusão.

EDR vs XDR

A principal diferença entre as duas soluções é que o XDR é a evolução natural do EDR, uma vez que alarga as suas capacidades. Um olhar aprofundado revela outras diferenças chave descritas abaixo: 

1 - Recolha de dados: 

O EDR recolhe telemetria que pode incluir tipos e volumes específicos de atividades que ocorrem num endpoint e com o qual comunica, tanto dentro como fora de uma organização. Assim como os tipos de dados e ficheiros que transitam de e para esse endpoint. O XDR, por sua vez, recolhe dados de mais fontes. Complementa a telemetria da solução EDR, cruzando-a com outras fontes, como o tráfego de rede ou identidade de atividade, correlacionando esses dados e apresentando um contexto mais amplo.

2 - Análise de dados: 

No caso do EDR, os dados de endpoint são enviados para um motor de análise EDR que deteta comportamentos anómalos e os mapeia para indicadores de ataque (IoAs), indicando que tipos conhecidos de atividade maliciosa podem estar presentes. Ao recolher outros dados do ambiente, o XDR é capaz de identificar a natureza e origem de qualquer atividade maliciosa que deteta com um importante nível de confiança, reduzindo, assim, os falsos positivos e aumentando a fiabilidade e precisão.

3 - Deteção e resposta a ameaças: 

A tecnologia EDR utiliza inteligência artificial (IA), machine learning (ML) e análise avançada de ficheiros para analisar o comportamento do dispositivo e identificar ameaças avançadas e malware. Tem também mecanismos de resposta automática com ações como o envio de alertas de segurança, isolando a máquina da rede, e removendo ou pondo termo a potenciais ameaças. Entretanto, a tecnologia XDR, através da utilização de domínios cruzados e correlação de atividades monitorizadas de diferentes produtos de segurança, fornece contexto de ameaças, pontuações e deteta cenários maliciosos que podem ser indicadores de compromisso (IoC), reduzindo o tempo médio de deteção (MTTD) e contendo rapidamente o impacto, gravidade e alcance da ameaça. O XDR também permite uma resposta orquestrada entre  domínios nativa, como a resposta conjunta de endpoint e de rede, isolando endpoints e bloqueando o endereço IP externo associado ao incidente.

EDR ou XDR: qual deles se adapta melhor às necessidades dos seus clientes? 

Embora seja verdade que EDR e XDR cobrem casos de uso comum, são diferentes e respondem a necessidades específicas. Ao considerar adotar ou recomendar uma destas soluções aos seus clientes, os MSP devem avaliar a situação atual e as capacidades dos seus clientes para oferecer a opção que melhor se adequa às suas necessidades. Os itens a avaliar incluem: 

  • Infraestrutura de TI: o primeiro passo é determinar quais os ativos que precisam de ser protegidos. A solução XDR é ideal para empresas de média dimensão com pessoal limitado e falta de ferramentas automatizadas, o que significa que têm de passar muito tempo a classificar manualmente as deteções, a gerir alertas e a aceder a múltiplas consolas para recolher esta informação e contextualizá-la para que saibam como agir quando confrontados com uma ameaça. 
  • Conhecimentos de segurança: as soluções EDR e XDR requerem alguns conhecimentos especializados para serem implementadas e geridas eficazmente, bem como experiência em segurança e Threat hunting. Se a empresa utiliza serviços geridos, isto pode não ser tão relevante, uma vez que têm o pessoal qualificado para implementar qualquer uma destas tecnologias. Os MSP que aconselham as empresas sobre quais as soluções a adotar precisam de fazer uma recomendação baseada nas necessidades do cliente, na consciência dos ciberataques e em quantos funcionários e quais as infraestruturas que a empresa implementa.

Com base nestes critérios-chave, os MSP podem orientar as organizações na implementação de soluções e serviços. Na WatchGuard disponibilizamos as nossas ferramentas de Deteção e Resposta de Endpoint (EDR) e XDR aos nossos parceiros através da solução WatchGuard ThreatSync, para que possam para fornecer serviços de valor acrescentado ou recomendá-las aos clientes finais, porque apesar de ambas as soluções proporcionam um elevado grau de automatização na deteção e resposta, o ThreatSync vai um passo mais além ao alargar estas capacidades, orquestrando a deteção e resposta através de múltiplas soluções de segurança.

Para saber mais sobre a nossa tecnologia de deteção e resposta alargada (XDR), visite o nosso blog: